Một lỗ hổng zero-day mới trong Windows Themes đã được phát hiện, cho phép kẻ tấn công đánh cắp thông tin xác thực NTLM của người dùng từ xa. Lỗ hổng này đã gây ra mối lo ngại lớn trong cộng đồng bảo mật, đặc biệt là khi NTLM đã từng bị khai thác rộng rãi trong các cuộc tấn công relay NTLM và pass-the-hash. Trong các cuộc tấn công này, kẻ xấu có thể buộc các thiết bị mạng dễ bị tấn công phải xác thực với các máy chủ do chúng kiểm soát, hoặc khai thác các lỗ hổng hệ thống để lấy các hash NTLM từ các hệ thống mục tiêu. Khi đã có hash, kẻ tấn công có thể xác thực như người dùng bị xâm nhập, truy cập dữ liệu nhạy cảm và lan truyền trong mạng đã bị xâm nhập.
Phát hiện và khai thác lỗ hổng
Lỗ hổng này được phát hiện bởi các nhà nghiên cứu bảo mật từ ACROS Security trong quá trình phát triển một bản vá nhỏ cho một vấn đề bảo mật khác được theo dõi là CVE-2024-38030. Vấn đề này có thể rò rỉ thông tin xác thực của người dùng và là một cách vượt qua cho một lỗ hổng giả mạo Windows Themes khác (CVE-2024-21320) đã được Microsoft vá vào tháng Một. Mặc dù Microsoft đã vá CVE-2024-38030 vào tháng Bảy, ACROS Security đã tìm thấy một vấn đề khác mà kẻ tấn công có thể khai thác để đánh cắp thông tin xác thực NTLM của mục tiêu trên tất cả các phiên bản Windows đã cập nhật đầy đủ, từ Windows 7 đến Windows 11 24H2.
Cách thức khai thác
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thuyết phục người dùng tải một tệp tin độc hại lên hệ thống dễ bị tấn công, thường thông qua email hoặc tin nhắn tức thời. Sau đó, người dùng chỉ cần xem tệp tin này trong Windows Explorer mà không cần mở hoặc nhấp vào tệp tin, thông tin xác thực NTLM của họ có thể bị rò rỉ.
Bản vá không chính thức từ 0patch
Công ty ACROS Security hiện cung cấp các bản vá bảo mật không chính thức miễn phí cho lỗ hổng zero-day này thông qua dịch vụ 0patch của họ cho tất cả các phiên bản Windows bị ảnh hưởng cho đến khi có bản vá chính thức từ Microsoft. Để cài đặt bản vá nhỏ này trên thiết bị Windows của bạn, bạn cần tạo một tài khoản 0patch và cài đặt agent 0patch. Khi agent được khởi chạy, bản vá nhỏ sẽ được áp dụng tự động mà không cần khởi động lại hệ thống, trừ khi có chính sách vá tùy chỉnh ngăn chặn điều đó.
Khuyến nghị và biện pháp phòng ngừa
Microsoft đã thông báo rằng họ "nhận thức được báo cáo này và sẽ hành động khi cần thiết để giúp bảo vệ khách hàng." Trong khi chờ đợi bản vá chính thức, người dùng Windows có thể áp dụng các biện pháp giảm thiểu do Microsoft cung cấp, bao gồm áp dụng chính sách nhóm chặn các hash NTLM như được chi tiết trong tư vấn CVE-2024-21320.